Liikenne- ja viestintävirasto Traficomin NCSA-toiminnon hyväksymät salausratkaisut
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen kansainvälisiin tietoturvavelvoitteisiin liittyviin tehtäviin kuuluu salaustuotteiden hyväksyntä kansainvälisen turvallisuusluokitellun tiedon suojaamiseksi Suomessa. Salaustuotteiden hyväksyntäviranomaisesta käytetään EU:ssa lyhennettä CAA (Crypto Approval Authority). Traficomin Kyberturvallisuuskeskuksen NCSA-toiminto huolehtii CAA-vastuista Suomessa.
Tämä lista sisältää Traficomin Kyberturvallisuuskeskuksen hyväksymiä salaustuotteita, joita voi käyttää kansallisten ja EU:n turvallisuusluokiteltujen tietojen suojaamiseen. Listan tuotteet on hyväksytty käytettäväksi tiedon luottamuksellisuuden ja eheyden suojaamiseen korkean uhkatason ympäristöissä. Korkea uhkataso tarkoittaa esimerkiksi viestintää avointen verkkojen, kuten Internetin, yli. Se voi tarkoittaa myös järjestelmää, joka on hyväksytty lähetettävän tiedon turvallisuusluokkaa matalammalle turvallisuusluokalle. Listan soveltamisesta muihin uhkatasoihin saa tarvittaessa neuvoja Traficomin NCSA-toiminnolta.
Esitellyt turvallisuusluokat koskevat vain viranomaisen turvallisuusluokittelemaa tietoa, mutta niitä voi käyttää myös suosituksina muihin tarpeisiin.
EU:n neuvosto ja sen pääsihteeristö ylläpitävät myös listaa hyväksymistään salaustuotteista, joita voi käyttää myös kansainvälisen tai kansallisen turvallisuusluokitellun tiedon suojaamiseen.
NCSA-toiminnon hyväksymät salausratkaisut kansalliselle turvallisuusluokitellulle tiedolle
Salaustuotteiden hyväksyntäviranomaisen hyväksyntää edellytetään salaustuotteelta, kun haetaan hyväksyntää tietojärjestelmälle tai tietoliikennejärjestelyille, perustuen kansainvälisten tietoturvavelvoitteiden täyttämiseen (L 588/2004). Hyväksyntää voidaan edellyttää myös silloin, kun hyväksyntäprosessin perustana on laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (L 1406/2011).
Salaustuotteiden käyttöönotossa on syytä huomioida, että hyväksyntään saattaa liittyä lisäehtoja. Uusia järjestelmiä suunniteltaessa ja epäselvissä tilanteissa suositellaan olemaan yhteydessä Traficomin NCSA-toimintoon. Kansallisten turvallisuusluokiteltujen tietojen suojaamiseen hyväksytyistä tuotteista myös avaintenhallintaratkaisut on hyväksytettävä kansallisesti, joko SAA:n tietojärjestelmähyväksynnän yhteydessä tai erillisillä menettelyillä.
Traficomin NCSA-toiminnon kansallisen hyväksynnän perusteena on salaustuotteen tietoturva-arviointi, jonka toimivaltainen salaustuotteiden hyväksyntäviranomainen on tehnyt tai valvonut.
Turvallisuusluokka TL II
Huomio: Korkeammalle turvallisuusluokalle hyväksyttyjä tuotteita voidaan käyttää myös alempien turvallisuusluokkien tietojen suojaamiseen ja niiden käytön ehdot saattavat erota turvallisuusluokittain.
Viimeisimmät muutokset:
- 22.12.2023: VeraCrypt-salaustuotteen hyväksyntä turvallisuusluokalle TL II on päättynyt
- 20.5.2022: VeraCrypt-salaustuotteen versiot 1.24 ja 1.25 hyväksytty turvallisuusluokille TL II ja TL III.
- 28.1.2021: VeraCrypt hyväksytty turvallisuusluokille TL II ja TL III
Turvallisuusluokka TL III
| Bittium Tough Mobile 2 C | Bittium Oyj (FI) | VPN-yhteys ja massamuistin salaus älypuhelimessa |
|
| Vain Traficomin laatiman käyttöpolitiikan mukainen käyttö on hyväksyttyä. Ohjeet saa valmistajalta tai Traficomin NCSA-toiminnolta. Versiolle 5.8 on asetettu 3.2.2023 lisäehtoja päivittämisestä. |
| Deltagon Sec@GW (D-Network) | SSH Communications Security Oyj (FI) | sähköpostin salaus | 3.3 (D-Network) | toistaiseksi | Vain Traficomin laatiman käyttöpolitiikan mukainen käyttö on hyväksyttyä. Ohjeet saa valmistajalta tai Traficomin NCSA-toiminnolta. Tarkemmat komponenttikohtaiset versiotiedot voi pyytää Traficomin NCSA-toiminnolta. |
| Insta SafeLink VPN Gateway 2008 | Insta Advance Oy (FI) | VPN-salain |
|
| Vain Traficomin laatiman käyttöpolitiikan mukainen käyttö on hyväksyttyä. Ohjeet saa valmistajalta tai Traficomin NCSA-toiminnolta. |
| Insta SafeLink VPN Gateway 2020 | Insta Advance Oy (FI) | VPN-salain |
|
| Vain Traficomin laatiman käyttöpolitiikan mukainen käyttö on hyväksyttyä. Ohjeet saa valmistajalta tai Traficomin NCSA-toiminnolta. |
| Insta SafeLink VPN Gateway Lite | Insta Advance Oy (FI) | VPN-salain |
|
| Vain Traficomin laatiman käyttöpolitiikan mukainen käyttö on hyväksyttyä. Ohjeet saa valmistajalta tai Traficomin NCSA-toiminnolta. |
| SSH NQX | SSH Communications Security Oyj (FI) | VPN-salain |
|
| Vain Traficomin laatiman käyttöpolitiikan mukainen käyttö on hyväksyttyä. Ohjeet saa valmistajalta tai Traficomin NCSA-toiminnolta. |
| VeraCrypt | Idrix (FR) | Tiedostosalain |
| 31.12.2026 saakka | Vain Traficomin laatiman käyttöpolitiikan mukainen käyttö on hyväksyttyä. Ohjeet saa valmistajalta tai Traficomin NCSA-toiminnolta. |
Viimeisimmät muutokset:
- 17.1.2024: SafeLink VPN Gatewayn versio 4.2.5 hyväksytty. Poistettu listalta vanhoja versioita, joiden hyväksyntä on päättynyt.
- 22.12.2023: VeraCryptin versio 1.26.7 hyväksytty. Aiemmat versiot siirretty TL II-taulukosta TL III-taulukkoon. Kaikkien versioiden hyväksyntäaikoja muutettu.
- 20.6.2023: SafeLink VPN Gatewayn versio 4.2.3 hyväksytty, vanhojen versioiden hyväksyntäaikoja muutettu. Poistettu Forcepoint Stonesoft hyväksynnän päätyttyä.
- 13.3.2023: SafeLink VPN Gatewayn versio 4.2.2 hyväksytty, versiotietoja tarkennettu ja poistettu vanhoja versioita.
- 10.2.2023: Bittium Tough Mobile 2 C hyväksynnän tietoja päivitetty.
- 19.9.2022: Forcepoint Stonesoft NGFW hyväksyntä päättyy 31.3.2023
- 12.9.2022: Bittium Tough Mobile C hyväksyntä päättynyt ja tuote poistettu listalta. Bittium Tough Mobile 2 C versiotiedot päivitetty.
- 6.9.2022: SSH NQX:n ohjelmistoversio 2.2.5 hyväksytty turvallisuusluokalle TL III
- 20.5.2022: SSH NQX:n ohjelmistoversio 2.2.4 hyväksytty turvallisuusluokalle TL III
- 21.12.2021: Insta SafeLinkin versio 4.1.0 hyväksytty turvallisuusluokalle TL III, version 3.5A hyväksyntä lakkaa 31.12.2022 jälkeen. Poistettu Stonesoft FW/VPN hyväksynnän päätyttyä. Päivitetty Bittium Tough Mobile C:n hyväksynnän voimassaoloaika
- 19.10.2021: Poistettu Insta SafeLinkin versiot 4.0.1, 3.4B ja 3.5 listalta niiden hyväksyntien päätyttyä
- 1.10.2021: Päivitetty Bittium Tough Mobile C ja 2 C hyväksyntien versiotietoja ja voimassaoloaikoja
- 6.9.2021: Stonesoft FW/VPN:n hyväksyntä päättyy 30.11.2021
- 14.4.2021: Insta SafeLinkin ohjelmistoversio 4.0.3 hyväksytty turvallisuusluokalle TL III
- 7.4.2021: Bittium Tough Mobile 2 C hyväksytty turvallisuusluokalle TL III
- 10.2.2021: SSH NQX:n ohjelmistoversio 1.1.0p5 hyväksytty turvallisuusluokalle TL III
Turvallisuusluokka TL IV
| SafeMove Windows VPN Client | Bittium Wireless Oy | VPN ohjelmistotuote Windows käyttöjärjestelmälle | 14.0 | 1.2.2027 | Traficom on määritellyt tuotteen käyttöpolitiikassa tuotteen mahdollisimman turvalliseen käyttöön liittyviä menettelyjä. Käyttöpolitiikan jakelusta vastaa Traficomin Kyberturvallisuuskeskus. Viranomaisille Bittium voi itse toimittaa käyttöpolitiikan. |
| Deltagon Sec@GW | SSH Communications Security Oyj (FI) | Sähköpostin salaus | 3.10 (SecAtGW 3.10.82-1) | toistaiseksi | Vain Traficomin laatiman käyttöpolitiikan mukainen käyttö on hyväksyttyä. Ohjeet saa valmistajalta tai Traficomin NCSA-toiminnolta. Tarkemmat komponenttikohtaiset versiotiedot voi pyytää Traficomin NCSA-toiminnolta. |
| GnuPG | Sähköpostin salaus | GnuPG 2 | toistaiseksi | Vain Traficomin ohjeiden mukainen käyttö on hyväksyttyä. Ohjeet saa tarpeen mukaan Traficomin NCSA-toiminnolta. | |
| TETRA E2EE | Airbus Defense and Space Oy (FI) | TETRA-verkossa toimiva päästä-päähän-salain | E2EE älykortit 3.5 | toistaiseksi | Vain Traficomin laatiman käyttöpolitiikan mukainen käyttö on hyväksyttyä. Ohjeet saa valmistajalta tai Traficomin NCSA-toiminnolta. |
Viimeisimmät muutokset:
- 12.2.2024: Bittium SafeMove Windows VPN Client lisätty listalle.
- 19.10.2021: Deltagon Sec@GW version 3.10 päivitys hyväksytty turvallisuusluokalle TL IV, version 3.8 hyväksyntä on päättynyt uuden version tultua hyväksytyksi.
- 17.2.2021: Deltagon Sec@GW version 3.10 päivitys hyväksytty turvallisuusluokalle TL IV
Salaustuotteet EU:n turvallisuusluokitellulle tiedolle
Kun EU:n turvallisuusluokiteltujen tietojen suojaamiseen käytetään salaustuotteita, tulee niiden olla hyväksyttyjä EU:n turvallisuussääntöjen 10 artiklan 6 kohdan mukaisesti. Kyseisen kohdan mukaan EU:n CONFIDENTIEL UE/EU CONFIDENTIAL (C-UE/EU-C) tai RESTREINT UE/EU RESTRICTED (R-UE/EU-R) turvallisuusluokiteltujen tietojen luottamuksellisuus voidaan suojata jäsenvaltioiden kansallisissa järjestelmissä salaustuotteilla, jotka on hyväksynyt jäsenvaltion salaustuotteiden hyväksyntäviranomainen (CAA). SECRET UE/EU SECRET (S-UE/EU-S) tai sitä korkeamman turvallisuusluokan tietojen luottamuksellisuus, ja kansallisten järjestelmien ulkopuolella C-UE/EU-C ja R-UE/EU-R turvallisuusluokan tietojen luottamuksellisuus, on suojattava salaustuotteilla, jotka on hyväksynyt salaustuotteiden hyväksyntäviranomaisena toimiva neuvosto tai vastaavasti neuvoston pääsihteeristö.
Tärkeää: Salaustuotteiden käyttöönotossa on syytä huomioida, että hyväksyntään yleensä liittyy lisäehtoja. Siksi suositamme, että jo uusia järjestelmiä suunniteltaessa otetaan yhteyttä Traficomin NCSA-toimintoon. EU:n turvallisuussääntöjen mukaan kaikilta EU:n turvallisuusluokiteltua tietoa käsitteleviltä järjestelmiltä edellytetään myös kansallisen SAA-toimijan (Security Accreditation Authority, Suomessa Traficomin NCSA-toiminto) tarkastusta ja hyväksyntää.
Traficomin NCSA-toiminnon hyväksynnän perusteena on salaustuotteen tietoturva-arviointi, jonka on EU-maan toimivaltainen salaustuotteiden hyväksyntä-viranomainen (CAA) tehnyt tai valvonut.
EU-neuvoston tai pääsihteeristön hyväksymien salaustuotteiden lista (Ulkoinen linkki)